Authy 해킹 후 찾아본 MFA(2FA) OTP 대체 선택지

가장 안전한 OTP 무엇일까?

갑자기 2차인증 OTP 앱 관련 글을 적게 된 이유는 제가 사용하는 Authy 해킹 관련 이슈가 떴기 때문입니다. 다행히도 7500만 명 중 ’93명’만 해킹의 영향을 받았다고 합니다. 하지만 가장 유명한 OTP 앱 회사가 당했기에 여파는 적지 않습니다. 보안 앱이라 작은 이슈에도 불안감은 커질 수 있거든요.

어떻게 해킹당했나?

다행히도 보안 시스템이 취약해서 생긴 문제는 아니고, 직원 중 하나가 피싱을 당했다고 합니다. 언제나 보안의 처음과 끝은 사람이네요.

Authy는 그만 써야 하나요?

우선 멀티 디바이스 기능만 끄시는 것을 추천하고 있습니다.

저 또한 그동안 Authy를 강력 추천했고(읽기) 지금도 Authy를 계속 사용하고 있습니다. 지금 당장 이만한게 없거든요.. 편의성 부분이 큽니다. 보안을 향상시키려면 어쩔 수 없이 불편함이 따라야하는데.. 윈도우, Mac, 안드로이드 3개 운영체제를 다 같이 사용하다보니 크로스플랫폼 앱 중 최대한 규모가 크고 믿을 수 있는 곳을 선택하면 Authy거든요.. ㅜㅜ 이름이랑 비슷하게 아우씨가 되어버렸

추천하는 MFA OTP 리스트

다행히도 좋은 앱들이 있습니다. 다만 각 운영체제별로 따로 있어서 각자 환경에 맞게 골라서 사용하시면 되겠습니다.

MFA 2FA 무슨 차이인가?

초보분들은 이 부분이 궁금하실 수 있어서 간단하게 설명드리고 갈게요. MFA는 Multi-Factor Authentication의 약자 입니다. 다중 인증이라는 뜻이에요. 2FA는 Two-Factor Authentication 즉 이중 인증 입니다. 비밀번호에 한가지가 더 추가되는 건데요. 보통 OTP아니면 SMS(문자)가 많이 사용됩니다.

안드로이드 OTP : Aegis Authenticator

웹사이트 : https://getaegis.app/

오픈소스라는 큰 장점을 가지고 있고, Play스토어 뿐 아니라 F-Droid에서도 받을 수 있습니다. 단점은 로컬 저장이라(오히려 Authy 사건을 보면 오프라인 저장은 큰 장점이기도 합니다.) 동기화가 안되어 동시에 여러 기기에서 사용할 수 없습니다. 백업/복구, 생체인식 등 대부분의 기능이 있고 깃헙 Stars도 3.8K나 되고 업데이트도 좋습니다. 안드로이드 전용인게 너무 아쉽습니다.

MacOS/iOS 애플기기용 OTP : Raivo OTP

제가 아이폰 유저였다면 Raivo OTP를 사용했을 것 입니다. 폰이야 항상 들고다니니 윈도우는 안깔아도 되고 맥OS 앱도 있어 맥북을 쓰는 저에게 딱 좋을뻔 했습니다.

기능, 업데이트, 디자인 모두 좋고 거기다 오픈소스입니다. 하지만 저는.. 갤럭시의 통화녹음, 삼성페이 및 원핸드오퍼레이션 등 편의 기능에서 빠져나갈수가 없군요. ㅜㅜ 혹시 Authy에서 Raivo로 마이그레이션을 하고싶으신 분들은 메뉴얼을 참고해주세요.

그리고 애플 자체 OTP 기능이 있습니다. 혹시 사파리만 사용하신다면 추천드립니다. 생체인식으로 자동 입력도 가능해 매우 편하지만 사파리에서만 가능합니다. 수동으로 보려면 설정에서 몇단계를 더 들어가야해서 번거롭습니다.

윈도우 유저를 위한 OTP

아.. 여기서 좀 거지같습니다. Authy를 빼면 Microsoft거 말고는 쓸만한게 별로 없어요. Bitwarden 유료 사용자나 셀프 호스팅 사용자는 내장기능을 쓰셔도 좋은데.. 이상하리만치 윈도우용 OTP가 딱 이거다!! 할만한게 없습니다. 그래서 제가 계속 쓰고 있는거죠 ㅜㅜ 멀티디바이스 기능을 잠시 끄고 한동안 불편하게 쓰다가 보안 조치가 완료됐다 하면.. 다시 동기화 기능을 써야하지 싶어요.

그 외 OTP 앱

• Google Authenticator : 구글 OTP 인증기는 그냥 쓰지마세요.. 보안 취약점도 지적된 적이 있고 백업/복원 문제 때문에 화나서 Authy로 옮긴분들이 상당히 많습니다.
• andOTP : 안드로이드 OTP 앱 중에서 가장 유명한 대체 앱 중 하나 입니다. 하지만 개발자가 개발을 공식적으로 끝냈기 떄문에 더이상 추천드리기는 어렵습니다. andOTP Github에 가면 ‘This repository has been archived by the owner. It is now read-only.’라고 나와있습니다. 공식입장은 XDA에 올렸네요.
• Microsoft Authenticator : 구글아니 마이크로소프트거 쓸거면 차라리 Authy가 훨씬 낫습니다. MFA 앱 중 마소나 구글 같은 글로벌 대기업의 것이 별로 유명하지 않은건 이유가 있어요.
• FreeOTP+ : Aegis 다음으로 추천하는 안드로이드 OTP 어플 입니다. Github에 소스도 공개 되어있구요.
• 2FA Authenticator(2FAS) : 안드로이드/iOS 두개 플랫폼 앱만 제공합니다. 동기화도 지원하지만 윈도우 앱이 없네요. 완성도는 꽤 좋습니다. 생체 인식 등 다양한 편의 기능도 제공하고 홈페이지를 보면 꽤 자신있어 보입니다. https://2fas.com
• DUO – 듀오는 평이 좀 많이 안좋습니다. 플레이스토어 들어가보시면 평점 2.9에 최근 평들이 상당히 좋지 않은것을 볼 수 있습니다.
• LastPass Authenticator : 라스트패스도 얼마전 해킹 사건이..
• Yubico Authenticator : 비싼 Yubikey가 있어야 합니다. 물리적 보안이고 보안 자체는 최고 수준이나 물리키를 잃어버리면.. 난리나서 두개를 사야합니다.

결론은? OTP 뭐가 짱이냐?

• 난 누가 뭐래도 가장 안전하게 쓰고 싶다.
  • 클라우드 백업 및 동기화 기능이 없는 로컬 전용 OTP 사용
  • Yubikey 사서 비싸고 불편한 방법이 가장 안전
• 저 처럼 윈도우,안드로이드,MacOS 다중 플랫폼을 일상에서 모두 사용중이다 : Authy

인터넷 사생활, 네트워크 보안을 위한 VPN은 메뉴에서 리뷰 모음을 봐주세요. 윈도우, 맥 소프트웨어 정보도 있습니다.